8 maart 2023
Martine Mourits
Een raamwerk voor IT-beveiliging biedt het nodige houvast voor organisaties die een proactieve houding in beveiliging willen aannemen. Netwerk beveiliging is één van de zes lagen die deel uitmaken van het Zero Trust Framework van Microsoft. Om een netwerk te beveiligen volgens ‘Zero Trust’ moet een verbinding maken enkel en alleen mogelijk zijn als het wordt toegestaan. Martine Mourits, Consultant Azure & Integration, laat in vijf stappen zien hoe je met Network Security in Azure kunt beginnen.
Network Security omvat het proces van het beschermen van resources tegen onbevoegde toegang of aanvallen van buiten de organisatie. Het is een continu proces dat begint bij de inrichting van het netwerk.
Het is tegenwoordig aan te raden om een netwerk zo in te richten dat alleen legitiem verkeer tussen onderdelen mogelijk is. Dit is in lijn met de gedachtegang van het Zero Trust Framework die we willen adopteren. Men kan er immers niet meer vanuit gaan dat alleen vertrouwde apparaten verbinding willen maken met een netwerk. Er moet dus voor gezorgd worden dat verbinding maken per definitie niet kan – tenzij het expliciet wordt toegestaan. Maar hoe doe je dat? De volgende 5 stappen helpen je op weg:
Door in Azure één of meerdere Virtuele Netwerken (VNets) te gebruiken, kan dat wat zich binnen die VNets bevindt afgezonderd blijven van andere netwerken. Binnen zo’n VNet kunnen verschillende subnetten gemaakt worden en voor elk doel een eigen subnet. Op die manier kan heel selectief alleen het verkeer toegestaan worden dat voor een specifiek doel nodig is. Dit gebeurt onder andere ook door Network Security Groups toe te passen.
Network Security Groups, of NSG’s, blokkeren of laten verkeer door op basis van een aantal waarden die in de NSG worden opgegeven. Deze waarden zijn Port, Protocol, Source en Destination. De NSG heeft standaard al een aantal netwerkregels in zich, welke uitgebreid kunnen worden om specifiek verkeer toe te staan of te blokkeren.
In het onderstaande voorbeeld, als er verder geen regels aan deze NSG zouden worden toegevoegd, dan is verkeer binnen het Virtuele Netwerk toegestaan, net als Load Balancer verkeer. Al het andere verkeer wordt geblokkeerd.
Netwerkisolatie kan geïnterpreteerd worden als: ‘Maak de Azure services die in gebruik zijn zoveel mogelijk op een veilige manier beschikbaar binnen een eigen Virtuele Netwerk, zonder hiervoor het publieke internet te gebruiken’. Microsoft biedt hiervoor een aantal oplossingen:
Gebruik Service Tags om – waar het kan – direct met Microsoft-diensten te verbinden over het Microsoft Backbone-netwerk. ‘API Management’ kan bijvoorbeeld als Service Tag toegevoegd worden aan de Network Security Group. Vervolgens kan bepaald verkeer van- of naar ‘API Management’, of zelfs alleen ‘ApiManagement.WestEurope’, toegestaan worden zonder dat dit het publieke internet doorkruist.
Equivalent aan Service Tags in een Network Security Group, zijn Service Endpoints in het subnet te gebruiken om over de Microsoft-backbone te verbinden met bepaalde Azure services.
Met Private Endpoint en Private Link zorgt men ervoor dat een publiek endpoint als Private Endpoint binnen een netwerk beschikbaar wordt gemaakt, zodat verbinden met de gekoppelde (gelinkte) service niet meer over het publieke internet verloopt. Het Private Endpoint gebruikt een IP-adres uit het eigen VNet.
Om een service of een resource veilig met andere onderdelen in een netwerk te laten verbinden zonder het publieke internet op te gaan, gebruikt men VNet Integration. Zo kan bijvoorbeeld een Function App gekoppeld worden aan een subnet en op die manier is de App geïntegreerd in het VNet. In de configuratie van de service waarmee gecommuniceerd moet worden, bijvoorbeeld het Storage Account, kan worden aangegeven dat enkel het verkeer vanuit het Function App subnet bij het Storage Account mag komen. Zo mag de App bij de desbetreffende Storage Account, maar verder niets.
Wanneer het VNet is opgedeeld in verschillende Subnets, elk beveiligd door een Netwerk Security Group, dan is het tijd om een Route Table te maken met daarin User Defined Routes. Dit zorgt ervoor dat al het verkeer naar buiten door de Firewall wordt gerouteerd. Daar wordt het verkeer verder toegestaan of geblokkeerd, gefilterd, gemonitord, gelogd en er kunnen alerts op worden gegenereerd. In een User Defined Route (UDR) kan het gebruik van Service Tags worden ingezet om vertrouwd verkeer naar Microsoft services uit te zonderen van de verplichte route door de Firewall.
Ook al is er gedegen netwerkisolatie toegepast, men zal hoe dan ook toegang tot het internet nodig hebben. De Firewall staat tussen het eigen netwerk en het internet in, en is bedoeld te helpen om bedreigingen van buitenaf buiten te houden. Azure Firewall heeft naast de gebruikelijke mogelijkheden die een Firewall biedt (toestaan, blokkeren, filteren, monitoren, loggen, alerts genereren) ook de mogelijkheid om op basis van categorie te bepalen wat er met het verkeer moet gebeuren. Er kan bijvoorbeeld voor gekozen worden de categorie ‘Nieuws’ te blokkeren. Alle websites op het internet die op enige manier het nieuws brengen (ook als het nieuws via de zoekmachine wordt gezocht) worden dan geblokkeerd. Dit werkt bijzonder goed en is een stuk efficiënter dan een grote hoeveelheid websites te moeten blokkeren.
Natuurlijk is er over Azure Firewall – en over Network Security in het algemeen – veel meer te vertellen. Wil je meer te weten komen over hoe jouw organisatie een actieve houding aanneemt omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop’ en ‘Protect and Govern Sensitive Data Activator Workshop’ geven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.
Meer weten